Ransomware-Attacken sind die grössten Cyberbedrohungen unserer Zeit. Auch Schweizer Unternehmen sind häufig davon betroffen, wie die jüngsten Vorfälle in einem Genfer Pflegeheim und der Gemeindeverwaltung Rolle zeigen. Um sich besser zu schützen, brauchen Unternehmen eine ganzheitliche Security-Strategie, die auch eine schnelle Erkennung, Reaktion und Datenwiederherstellung einbezieht.
Cyberangriffe nehmen weiterhin massiv zu. Besonders Ransomware-Attacken haben sich für Hacker zum lukrativen Geschäft entwickelt. Laut einer Studie des Security-Anbieters Check Point stiegen sie im ersten Halbjahr 2021 weltweit um 93 Prozent an. Sicherheitsforscher verzeichnen dabei einen neuen Trend: Häufig wenden Cyberkriminelle eine Strategie der doppelten Erpressung an. Sie verschlüsseln die Daten des Opfers nicht mehr nur, sondern greifen sie auch ab. Zahlt das Opfer das geforderte Lösegeld nicht, drohen sie damit, die Daten zu veröffentlichen oder auf dem Untergrundmarkt zu verkaufen.
Auch in der Schweiz sind Unternehmen vom wachsenden Risiko durch Ransomware betroffen. Allein im zweiten Halbjahr 2020 gingen beim Nationalen Zentrum für Cybersicherheit (NCSC) 34 entsprechende Meldungen aus verschiedenen Wirtschaftssektoren ein. Rund 80 Prozent davon kamen von kleineren und mittleren Unternehmen. Öffentlich bekannt wurden 2020 zum Beispiel die Vorfälle beim Uhrenhersteller Swatch Group, beim Helikopterhersteller Kopter, beim Elektrounternehmen Huber+Suhner und bei der Privatklinikgruppe Hirslanden. 2021 setzt sich die Angriffswelle fort. Erst vor Kurzem wurde das Genfer Pflege- und Altersheim «Maison de Vessy» gehackt und mit einer Lösegeldforderung konfrontiert. Die Cyberkriminellen waren in das hausinterne Informatiksystem eingedrungen, in dem medizinische und persönliche Daten der Bewohner gespeichert sind. Das Heim erstattete Anzeige und ging nicht auf den Erpressungsversuch ein. Es ist jedoch nicht auszuschliessen, dass die gestohlenen Daten geleakt werden. So erging es zum Beispiel der Gemeindeverwaltung Rolle im Kanton Waadt: Sie war bereits Ende Mai Opfer einer Ransomware-Attacke geworden. Jetzt sind im Darknet sensible Daten von mehr als 5 000 Einwohnerinnen und Einwohnern aufgetaucht.
Ein ganzheitliches Sicherheitskonzept
Schweizer Unternehmen sind sich der Gefahr durch Cyberangriffe bewusst. 90 Prozent gehen davon aus, dass sie in den nächsten zwölf Monaten von Datendiebstahl betroffen sein werden. Das ergab der aktuelle Cyber Risk Index (CRI), den der Security-Anbieter Trend Micro gemeinsam mit dem Ponemon Institute jährlich ermittelt. Aber wie können sich Unternehmen am besten schützen? Traditionell konzentrieren sie sich bei ihrer Security-Strategie auf Abwehrtechnologien, doch auch der dickste Schutzwall kann nie hundertprozentige Sicherheit bieten. Denn Cyberkriminelle entwickeln nicht nur immer raffiniertere Angriffstechniken. Die grösste Schwachstelle bleibt der Mensch. So bleibt immer ein Restrisiko, dass Mitarbeiter auf Phishing-Mails oder Social Engineering hereinfallen, Fehler machen und Angreifern aus Versehen die Tür öffnen. Angesichts der wachsenden Bedrohungslage ist ein Umdenken gefragt. Unternehmen benötigen ein ganzheitliches Security-Konzept, das neben Abwehr auch auf Prävention sowie die schnelle Erkennung und Bewältigung von Cyberangriffen setzt. Ganz wichtig sind zum Beispiel Schulungen und Trainings, um Mitarbeiter für Cyberrisiken und sicherheitsbewusstes Verhalten zu sensibilisieren. Eine entscheidende Rolle für die Resilienz spielt ausserdem ein Datenmanagement, das Unternehmen in die Lage versetzt, im Falle eines Cyberangriffs den Schaden zu minimieren und schnell wieder betriebsfähig zu sein.
Datenmanagement und Ransomware
Im Ernstfall kommt es darauf an, den Cyberangriff schnellstmöglich zu entdecken und seine weitere Ausbreitung zu verhindern. Je früher man eine Verschlüsselung stoppt, umso weniger Daten sind betroffen und umso schneller lassen sich die Systeme wiederherstellen. Zeit ist Geld. Denn in einer zunehmend digitalisierten Welt verursacht jede Stunde, in der IT-Systeme stillstehen, hohe Kosten. Hier kann moderne Datenmanagement-Software einen wertvollen Beitrag leisten. Mit innovativen Monitoring-Techniken erkennt sie verdächtige Prozesse in der Speicherumgebung, die auf eine Ransomware-Attacke hindeuten. Bei einer Verschlüsselung entstehen Unmengen an neuen Daten. Dadurch wird plötzlich ungewöhnlich viel Speicher verbraucht. Die Datenmanagement-Software gibt eine Warnmeldung aus, wenn ein Volumen eine bestimmte Schwelle, zum Beispiel 90 Prozent, überschreitet oder die Wachstumsrate verdächtig gross ist. Auch ein plötzlicher Storage-Effizienz-Einbruch kann ein Indikator für einen Ransomware- Angriff sein. Denn wenn die Datenmanagement-Software verschlüsselte Blöcke nicht mehr lesen kann, laufen Prozesse wie Deduplizierung und Kompression langsamer ab als gewöhnlich. Für eine zusätzliche
Sicherheitsebene sorgt User Behavioral Analytics (UBA): Eine künstliche Intelligenz (KI) trackt das übliche Nutzerverhalten, identifiziert typische Muster und schlägt Alarm, wenn ein Ereignis von diesem Muster abweicht. Auf diese Weise sind Unternehmen in der Lage, ein Zero-Trust-Modell umzusetzen. Selbst wenn ein autorisierter Nutzer versucht, Daten zu manipulieren, erkennt das System verdächtiges Verhalten.
Resiliente Back-up-Strategie
Hat man einen Ransomware-Vorfall entdeckt, besteht der nächste Schritt darin, die Malware aufzuspüren, zu stoppen, die Systeme zu bereinigen und die Sicherheitslücke zu schliessen. Hierfür sollten Unternehmen geeignete Security-Software einsetzen und mit spezialisierten IT-Forensikern zusammenarbeiten. Damit die IT schnell wieder betriebsfähig wird, sind Back-ups wichtig, die nicht selbst mit der Schadsoftware infiziert sind. Daher empfiehlt es sich, bei der Back-up-Strategie auf Snapshots zu setzen. Sie stellen eine
Momentaufnahme der Daten zum Zeitpunkt der Speicherung dar und können anschliessend nicht mehr verändert werden. Da Snapshots nur Lesezugriff ermöglichen. lassen sie sich nicht durch Ransomware kompromittieren. Unternehmen sollten für jeden Snapshot mehrere Kopien erstellen und an unterschiedlichen Orten sichern. Mindestens eine Kopie sollte so aufbewahrt werden, dass sie selbst für talentierte Hacker unzugänglich bleibt. Zudem ist es wichtig, darauf zu achten, dass Snapshots weit genug zurückreichen, sodass der Zustand vor dem Angriff wiederhergestellt werden kann. Empfehlenswert ist ein Zeitraum von mehreren Monaten, denn manchmal schlummert eine Ransomware schon
seit Längerem im Netzwerk. Administratoren sollten zudem die Auto-Delete-Funktion deaktivieren, die Snapshots automatisch löscht, wenn Speicherplatz knapp wird.
Die Politik muss unterstützen
Ein modernes Datenmanagement und eine ausgefeilte Back-up-Strategie helfen Unternehmen entscheidend dabei, im Falle einer Ransomware-Attacke die Geschäftskontinuität zu sichern. Wichtig dafür ist, eine Data-Security-Lösung zu wählen, die die gesamte hybride Multi-Cloud einheitlich abdeckt. Angesichts der wachsenden Bedrohungslage reicht es nicht mehr aus, in der IT-Security auf Abwehr-Technologie zu setzen. Unternehmen müssen sich auch darauf vorbereiten, dass einmal ein Cyberangriff erfolgreich ist. Gerade kleinen und mittelständischen Betrieben fehlt es jedoch oft an Know-how, um sich richtig zu schützen. Es ist daher auch Aufgabe der Politik, landesweite, einheitliche Leitlinien für mehr Cybersicherheit zu etablieren. Nur mit einer ganzheitlichen Security-Strategie, die sowohl Prävention und Abwehr als auch eine schnelle Erkennung, Reaktion und Wiederherstellung umfasst, kann Resilienz gelingen.